in2security

16 March 2023 08:54

На одном из теневых форумов была размещена база, предположительно имеющая отношение к оператору телефонии для бизнеса «Авантелеком (https://avantelecom.ru/). Актуальность базы – 15 марта 2023 года.

База интересна тем, что в отличие от большинства инцидентов, о которых мы обычно пишем, она не содержит персональных данных или паролей – лишь телефоны и… текстовые расшифровки разговоров с клиентами в количестве 33 тысяч штук. Характер разговоров позволяет предположить, что это звонки в техподдержку.

Тайна связи, говорите?

in2security

09 March 2023 09:42

Хакеры, несколько дней назад выложившие в даркнете данные компании Acer, опубликовали массив данных, предположительно имеющих отношение к компании «Акронис».

Утечка содержит:
- различные файлы сертификатов
- различные журналы команд
- системные конфигурации
- журналы системной информации
- архивы их файловой системы
- скрипты python для их базы данных maria.db
- конфигурация резервного копирования
- множество снапшотов операций резервного копирования

Если утечка является подлинной, то это может нести как угрозы для безопасности, так и репутационные риски, ведь «Акронис» - это в первую очередь компания, специализирующаяся на разработке ИБ-продуктов.

in2security

07 March 2023 15:59

В сеть выложили архив с базой клиентов предположительно сети бургерных «Фарш».

Файл содержит 14 210 строк, включающих: имя, электронную почту (10 814 уникальных ящиков), телефон (11 424 уникальных), адрес, сведения о браузере и прочую служебную информацию.

Анализ базы показывает, что упоминаемые в ней бургеры соответствуют тем, что представлены в меню принадлежащей Новикову сети, а сама база скорее всего является не списком клиентов, а базой отзывов о качестве обслуживания. Файл охватывает период с 28 августа 2018 по 7 марта 2023 года.

in2security

06 March 2023 15:54

На популярном теневом форуме выставлен на продажу массив данных, которые, согласно описанию, принадлежат тайваньской компании Acer.

Продаваемый архив объемом 160 гигабайт содержит огромное количество внутренней информации, в том числе:
- конфиденциальные документы, включая внутренние руководства и презентации, сведения о продукции;
- сведения об инфраструктуре;
- сменные цифровые ключи продуктов (RDPK)
- образы Windows (SDI) и прочего софта;
- технические данные BIOS, ПЗУ и масса других файлов.

Актуальность утечки оценивается серединой февраля.

Подобный архив интересен далеко не каждому, но он может стать отличным приобретением как для конкурентов, так и для тех, кто специализируется на взломе и перепрошивке аппаратных устройств. Так что, если у вас планшет Acer, скоро сможете ожидать волну кастомизированных прошивок.

in2security

28 February 2023 09:17

В сеть выложили базу, согласно описанию принадлежащую сервису «Сберлогистика».

Файл users.csv содержит 671 473 строки, включая ФИО клиента, дату рождения, телефон, электронную почту, хэш пароля и так далее. Данные охватывают период с 16.02.2016 по 03.02.2023 г.
Уникальных адресов электронной почты: 142 083 (11 854 почт на домене sblogistica.ru и 2 047 на домене sberbank.ru).
Файл emp.csv содержит 691 550 строк, включая ФИО сотрудника, телефон, электронная почта. Общее количество сотрудников: 10 623.
Общее количество уникальных телефонов: 675 549.

in2security

15 February 2023 14:35

Мы делили Мандарин, много наших полегло
Утечка дня – платежная платформа Mandarin (https://mandarin.io/). Выложенный в общий доступ архив содержит 2 файла со сведениями о пользователях и сессиях.

Размещенные данные охватывают период с декабря 2018 по апрель 2021 года и содержат: идентификатор пользователя, хэш пароля, адрес электронной почты.

Кроме того, в файле Sessions, содержащем 2 767 133 строки, имеются сведения о ФИО, ИНН, СНИЛС, паспортах и телефонах пользователей.

В целом утечка содержит:
Уникальных адресов электронной почты: 16 200
Уникальных телефонов: 1 035 577

Кстати, по домену mandarin.io обнаруживается 11 потенциально скомпрометированных аккаунтов… Могут ли они иметь отношение к этой утечке — выясняется.

in2security

11 February 2023 20:27

Сегодня в сети опубликовали файл с данными клиентов официального интернет-магазина Philips (https://www.shop.philips.ru/). Размещенный файл содержит 301622 строки в формате: имя, email.

Саму по себе эту информацию нельзя назвать особо ценной - покупать такой файл точно никто не будет, поэтому его и выложили бесплатно, но в совокупности с другими утечками она может представлять определенный интерес, тем более что в файле содержится немалое количество корпоративных адресов электронной почты.

in2security

10 February 2023 11:55

Сегодня в сеть выложили базу данных сайта «супермаркета недвижимости» NDV.RU.

SQL-дамп объемом 8 гигабайт на 38.5 миллионов строк содержит сведения персональные данные клиентов, включая ФИО, адреса , даты рождения и телефоны, номера договоров, а также информацию о ходе строительных работ с 2013 по 2017 годы, сведения об обращениях в компанию и прочую информацию.

Эта утечка совпала с наблюдаемым нами ростом числа фейковых сайтов девелоперов и риэлторов. Схема их работы чем-то похожа на сценарии фейковых банков: те якобы предлагают оформить ипотеку на выгодных условиях, эти – приобрести недвижимость, внеся предоплату. С учетом того, что даже многие официальные девелоперы придерживаются политики: «сегодня деньги, завтра договор» (проверено на практике), схема является вполне работоспособной. Единственный способ уберечься от подобных мошенников – не гоняться за дешевизной и проводить оценку контрагента до того, как совершать какие-либо финансовые операции.

in2security

01 February 2023 15:31

Дней без утечек: 0

На этот раз в сети выложили данные «Лесной интернет-аптеки Лиатон». Архив содержит 4 файла: сведения о заказах, в том числе стоимость, контактную информацию (адреса и телефоны), статус доставки, а также прочие служебные сведения, такие, скажем, как код постамата для получения посылки, или информация об устройстве, с которого был осуществлен заказ.

Всего в утечке фигурирует 2306 уникальных адресов электронной почты и 3361 телефон. Выложенные базы охватывает период с 4 мая 2018 по 30 января 2023 года. Как видите, в наши дни подобная информация все чаще распространяется бесплатно, а не продается.

Впрочем, не обошлось и без странностей. Данные одного из файлов, размещенных в архиве liaton.ru.zip почему-то содержат не сведения о заказах бобровой струи и мускуса кабарги, а информацию о покупке электроинструментов в магазине frezerov.ru…

На данный момент сайт https://liaton.ru недоступен, так что размышлять о том, имеет ли утечка отношение к реальности вряд ли имеет смысл.

in2security

01 February 2023 00:35

Более детальный анализ утечки показал, что в ней фигурируют 204 тысячи уникальных банковских карт, выпущенных банками из 102 стран мира.

Естественно, в основной массе это российские карты. Из 2429 BIN-ов российским банкам принадлежит 1399 идентификаторов.

В общей сложности утечка затронула клиентов 185 российских банков из 331 существующего в настоящее время. Впрочем, несколько карт из утечки были выпущены уже прекратившими деятельность кредитными организациями, такими как банк «Таата», получившей печальную известность благодаря тому, что в результате кибератаки в 2016 году с его счетов было похищено более 100 миллионов рублей.

Несмотря на то, что база данных не содержит полных номеров карт, она может быть легко использована для таргетированных социотехнических атак на клиентов банков. Так что в скором времени можно ожидать массовых звонков не только от «службы безопасности Сбербанка», ставшей уже своеобразным мемом, но и от представителей любой из представленных по ссылке организаций.

in2security

31 January 2023 16:48

Поступил официальный комментарий от представителя ООО "Атол":
Уважаемые друзья,
Сегодня произошел взлом ИТ-сервисов, используемых нашей компанией. Вследствие менее 5% клиентов и партнеров АТОЛ получили спам-сообщения, а ряд сайтов компании могут быть недоступны в течение короткого периода времени.
Мы оперативно устранили уязвимость и принимаем дополнительные меры к тому, чтобы в дальнейшем эта ситуация не повторилась. Важно отметить, что злоумышленники не получили доступ к клиентским и партнерским данным. Сервисы и оборудование АТОЛ продолжают работать в нормальном режиме.
Команда АТОЛ

in2security

28 January 2023 18:25

Волна взломов Telegram-аккаунтов продолжается. Новые фишинговые сайты появляются практически ежедневно. В тренде, как и месяц назад, фейковые голосования.

В целом схема остается неизменной: многочисленные сайты-завлекалочки, ведущие через несколько промежуточных ресурсов на фишинговый сайт.

Свежие примеры таких сайтов:
tele-golosovanie.ru
tele-golos.ru
golosovanieonline.ru
golos-teleguide.ru
telegram-golosovanie.ru

Данный шаблон активно используется уже полгода и все равно демонстрирует высокую эффективность. Ну а нам остается лишь отправить обнаруженные домены на блокировку.

in2security

25 January 2023 16:27

Минутка юмора. Думаете Cisco ушла из России? Нет. По мнению создателей сайта http://cisco-ru.ru? Cisco теперь не только разрабатывает сетевое оборудование, но и изготавливает металлоконструкции, продает запорную арматуру, метизы, пневматические системы и даже печной кирпич. Выражение «превратить роутер в кирпич» заиграло новыми красками.

in2security

15 January 2023 18:56

В общий доступ попали данные одного из крупнейших российских девелоперов – группы «Самолет».

Выложенные файлы содержат 20 500 уникальных строк. Основной массив представляют контрагенты девелопера, но присутствуют сведения и о более чем 4 000 сотрудников компании. Несмотря на кажущуюся незначительность данных: ФИО, почта, телефон, с учетом специфики работы группы компаний, они могут быть использованы в сценариях man in the middle, ведь в базе присутствует информация о статусе партнера или сотрудника компании, ФИО менеджера, телефоны, должности, даты рождения и так далее.

Размещенные сведения содержат данные за период с февраля 2021 по апрель 2022 года.

in2security

12 January 2023 12:59

А вот еще один пример использования того же инфоповода, что и постом выше. Тут уже целый бот «Список мобилизации», который якобы позволяет проверить, не находитесь ли вы или ваши родственники в перечне тех, кого могут призвать в армию в 2023 году.

А что же на самом делает этот бот?

1. Собирает персональные данные…
2. Заставляет вас оформить подписку на канал спонсора…
3. Требует для получения результата пригласить 10 друзей…

В данном случае тема мобилизации используется в первую очередь для накрутки подписчиков некоего канала «Лимон».

in2security

09 March 2023 12:11

Недавно мы писали про утечки, предположительно связанные с сервисом «Сберлогистика» и порталом «Сберправо», а сегодня в сеть выложили архив с говорящим названием Sberspasibo.zip

Архив содержит 2 файла. Первый файл – Orders имеет размер 820 мегабайт и включает 6 335 994 строки, содержащие номера телефонов, адреса электронной почты, даты рождения, даты регистрации, хэши карт и прочую служебную информацию.

Анализ файла позволил выделить:
1 089 420 уникальных адресов электронной почты
1 448 281 уникальный телефонный номер
Файл охватывает период с 01.04.2017 по 07.02.2022.

Размер второго файла – Users составляет почти 13 гигабайт. В нем содержится 48 387 008 строк.

132 749 уникальных адресов электронной почты
4 557 584 уникальных номеров телефонов.

По состоянию на 14.00 архив успели скачать уже более 350 раз.

in2security

08 March 2023 13:05

Сегодня на одном из даркнет-форумов были размещены два архива, предположительно имеющие отношение к Высшей школе экономики.

Архивы содержат сканы паспортов и персональные данные выпускников и сотрудников, списки сотрудников, имеющих отсрочку от мобилизации, досье абитуриентов магистратуры, логины и пароли для доступа к СЭД и другим внутренним сервисам, а также значительный объем иной информации.

Актуальность данных – март 2023 года. Автор публикации намекает на то, что может последовать продолжение, что неудивительно, так как уже опубликованные сведения содержат огромное количество информации, которая может быть использована для атак на инфраструктуру ВУЗа.

in2security

07 March 2023 09:01

Не успел затихнуть шум вокруг Сберлогистики, как в сети появился архив, предположительно имеющий отношение к порталу «Сбер право».

Архив sberpravo.zip содержит 3 файла: user, user2 и userphone.Дата создания всех трех файлов одинакова – 8 февраля 2023 года, то есть практически ровно месяц назад.

Файл user состоит из 120 901 строки.

Из значимых данных в нем можно выделить ФИО, телефон и адрес электронной почты.

Уникальных телефонов: 152 900

Уникальных адресов электронной почты: 70 155

Среди адресов электронной почты присутствует довольно много учеток в домене sberbank.ru, самыми популярными словами в электронных адресах являются по удивительному совпадению слова lawyer и advokat.

Несмотря на то, что размер второго файла в разы превышает размер первого, user2 содержит меньшее количество информации - 119496 строк.

Помимо ФИО в базе представлены опять же адреса электронной почты, наименования юридических лиц, даты рождения и регистрации пользователей.

Самая поздняя дата – 8 февраля 2023 года, что совпадает с датой создания файлов.

Файл Userphone содержит 15360 строк, состоящих исключительно из телефонов в связке с идентификаторами пользователей.

in2security

04 March 2023 17:18

Обычно создателей фишинговых ресурсов достаточно сложно идентифицировать методами OSINT, поэтому основным методом борьбы с фишингом является блокирование фишинговых сайтов. Это крайне важная работа, но по сути она являет собой борьбу со следствием, а не с причиной.

Но сложно - не значит невозможно. И сегодняшний пример посвящен тому, как всего лишь одна ошибка позволила нам связать 60 фейковых ресурсов с молодым разработчиком-анимешником из города Чебоксары: https://telegra.ph/Valeron-03-04.

in2security

27 February 2023 13:41

Иногда в дарке всплывают весьма любопытные утечки. Вот, например, вчера на одном из теневых форумов завсегдатай выложил базу, найденную через мониторинг портов, специфичных для Elasticsearch. База хостится на VPS, расположенном в Нидерландах, но её контент позволяет однозначно связать её с Россией.

Тот, кто взломал базу, сам не понял, что это такое и предлагает её «как есть».

При этом база весьма любопытна. Каких-то особо чувствительных данных она не содержит – максимум имена, ники и телефоны, кого сейчас таким удивишь, зато комментарии в ней прекрасны. Вот лишь небольшая подборка:

мент-П****** Леонид Юрьевич\мошенник-сергей петрович 1995г
УВД ПО СВАО г. МОСКВА\УЛИЦА ВЕШНИХ ВОД 10\МОШЕННИК: (ФАМИЛИЯ ЛОХА) СЕРГЕЙ ПЕТРОВИЧ
СЕЙЧАС НА РАБОТЕ РАЗДУПЛИТЬ НУЖНО
Лейтенант полиции Ш***** Борис Борисович, должность - дознаватель, ГУ МВД по г.Москва. \Удостоверение №КСР22****\Мошенник – К**** Райана Алановна

Больше всего это напоминает базу колл-центра мошенников, черных юристов, представителей серой микрофинансовой организации или иных подобных персон, но уж точно не легальной организации. Так что налицо факт того, что одни злоумышленники взломали других.

Впрочем, на такие базы всегда есть спрос, ведь если кого-то успешно развели один раз, его с высокой долей вероятности можно развести опять…

in2security

15 February 2023 13:25

На банках паразитируют не только откровенные мошенники. Сегодня мы расскажем о формально белой схеме, которая в последние годы весьма популярна в сети.

Многие банки имеют реферальные программы по типу «приведи друга» и предлагают небольшой бонус за каждого нового клиента, который оформит карту по реферальной ссылке. Маркетинговый расчет тут прост: вы оформили карту, начали ей пользоваться, порекомендовали её другу, он тоже начал пользоваться – количество клиентов банка прирастает. Но существуют люди, которые банально зарабатывают на реферальных программах, обещая процент от бонуса тем, кто оформит карту по их ссылке. И вы знаете… находятся люди, которые готовы оформить ненужную им банковскую карту для того, чтобы получить 300 рублей. Естественно, такой контингент не является целевой аудиторией банка и это портит всю суть маркетинговой программы.

Свежим примером подобного сайта, созданного для заработка на рефералках, является bankbonus.ru. Для оформления карты необходимо написать в WhatsApp по номеру +79254665799, после чего вам пришлют ссылку, ведущую на анкету на сайте банка, в которой указано, что «Ваш друг Дмитрий К. рекомендует вам Альфа-Карту».

Удивительным образом этот же номер фигурирует и на появившемся полгода назад адвокатском сайте pravonavse.ru. Оба сайта сделаны на едином шаблоне, даже уникальные идентификаторы в коде страницы совпадают. Вот только вместо Дмитрия на сайте адвокатов указана некая Алина.

Впрочем, Telegram-канал «адвокатов» пуст и печален, а сама Алина не появлялась в сети уже полгода, так что видимо юридический бизнес не пошел, пришлось собирать копейки на рефералках.

Тем более, что сбор «копеечек» на реферальных программах крайне популярен у различных сетевых Остапов Бендеров мелкого пошиба. Взять хотя бы сайт bonus-za-druga.ru, владелец которого с одной стороны зарабатывает на рефералках банка УБРиР, а с другой – создает фишинговые сайты под этот же банк, а также другие банки из ТОП-50.

in2security

10 February 2023 12:24

На сегодняшний день главный тренд интернета – нейросети. И больше всего шума в последние недели наделала нейросеть ChatGPT. Она уже успешно пишет программный код, курсовые, статьи для сайтов и так далее. Но вот беда, Она официально недоступна в России.

Конечно же, существует масса способов обойти то ограничение и заполучить аккаунт, но в последние дни мы стали фиксировать появление большого количества сайтов, предлагающих российским пользователям купить аккаунт ChatGPT за небольшие деньги.
Вот лишь отдельные примеры:
kupit-account-chatgpt.ru
chatgpt-ai.ru
aichatgpt.ru
chat-gpt.ru
chatgptai.ru
chatgpteto.ru
chatgptnarusskom.ru
chatgptp.ru
chatgptvrossii.ru
chatgt.ru
chatgtb.ru
gptchatbot.ru
openai-chat-gpt.ru
openchatgpt.ru
freechatgpt.ru

В целом все как обычно – никаких гарантий, никакой информации об операторе. Вы просто перечисляете смехотворную сумму на кошелек какого-то человека и надеетесь, что что-то произойдет. Сумма значительно ниже порога уголовной ответственности, так что даже если ничего не произойдет, вашему контрагенту особо ничего и не грозит.

Но это не единственный пример. Подобные сайты появляются в последние дни как грибы после дождя, а количество доменов в Рунете, эксплуатирующих тематику ChatGPT, уже исчисляется десятками. Правда, тут нет ничего удивительного: любое модное поветрие сразу же привлекает проходимцев самых разных мастей.

Теперь ждем, когда нейросети начнут генерировать контент для скам-сайтов.

in2security

09 February 2023 08:48

Вчера появилась новость о том, что мошенники, представившиеся сотрудниками безопасности банка, сперва убедили 48-летнего жителя Подмосковья оформить кредит на 1.35 миллиона рублей, а потом… поджечь отделение этого самого банка.

Для того, чтобы сподвигнуть людей совершать такие безумные поступки злоумышленники используют не только дар убеждения, но и различные вспомогательные средства, например сайты, на которых можно проверить, действительно ли вам звонит настоящий сотрудник банка или полиции. За примерами таких сайтов далеко ходить не надо, причем в отличие от откровенно фишинговых ресурсов, такие страницы живут долго.

Так, домен mvd-id.ru был зарегистрирован в декабре, а домен bank-id.ru – и вовсе в сентябре прошлого года. А вот ресурс gosidbank.ru появился только вчера.

Схема проста и эффективна. Если жертва начинает сомневаться, её перенаправляют на такой ресурс и предлагают проверить «уникальный идентификатор сотрудника». Причем если ввести неправильный ID, система напишет, что такого сотрудника не существует. Для пущей убедительности на некоторых сайтах прикручена форма авторизации через «Госуслуги», но в настоящий момент она не работает. Данная схема встречалась нам и раньше, но в последнее время она начинает применяться все активнее.

in2security

01 February 2023 12:59

В дополнение к предыдущему посту размещаем
официальное заявление компании Best2pay от 01.02.23

В декабре 2022 года информационные системы нашей Компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из наших подрядчиков, работавшего в изолированной тестовой среде. С использованием аккаунта подрядчика была скомпрометирована Тестовая система формирования отчетов.


Тестовая среда полностью изолированна от основных информационных систем компании, а размещенные в ней данные были подготовлены специально для работы с внешними подрядчиками. Актуальность массива данных относится к периоду с начала 2019 г. по июнь 2021 г. В похищенном массиве отсутствуют полные данные карт (только маска) и иные платежные реквизиты.


Все боевые системы, которые отвечают за обработку и хранение карточных данных полностью отделены от всех тестовых сред и надежно защищены по всем стандартам PCI DSS, что ежегодно подтверждается независимыми аудитами уже более 10 лет. Платежные данные клиентов не пострадали и находятся в безопасности.

in2security

31 January 2023 21:46

В сеть попали данные платежного сервиса Best2Pay (https://best2pay.net/). Опубликованный файл содержит 1 миллион строк, включающих ФИО, фрагмент номера карты, дату, сумму и назначение платежа, адреса электронной почты, телефоны, IP-адреса и массу иной служебной информации.

Уникальных почтовых адресов: 416378
Уникальных телефонов: 824515

Самая поздняя фигурирующая в файле дата – 28 января 2023 года. Впрочем, название файла намекает на то, что будет еще и продолжение.

🔍 Могут ли данные иметь отношение к реальной утечке – выясняется

in2security

31 January 2023 14:45

В открытый доступ выложили массив данных ООО «Атолл» - производителя оборудования и ПО для автоматизации торговли.

Основной выложенный файл содержит 157 104 строки со сведениями о клиентах и партнерах компании, в том числе адресе электронной почты, ФИО, ИНН, наименовании организации и контактном телефоне. Помимо активных клиентов в базе присутствуют строки со статусом «Заблокирован» или «Приглашен».

Кроме базы клиентов злоумышленники выложили довольно значительный объем информации, включая исходники веб-ресурсов, логи, скрипты, внутреннюю документацию, в том числе сканы актов о поставке оборудования, прочие базы данных, например, список участников форума, а также иные сведения. Общий объем запакованных архивов составляет порядка 9 гигабайт. А в распакованном виде все это переваливает уже за сотню гигабайт.

in2security

26 January 2023 13:32

В даркнете все чаще стали публиковать утекшие данные компаний, на которые в другой ситуации никто бы и не обратил внимания. Сегодня, например, выложили биллинговую базу маленького подмосковного провайдера «Дзинет» (dzinet.ru) из города Дзержинский Московской области.

В утечку попали логины, пароли, адреса, номера телефонов, ФИО и паспортные данные клиентов провайдера и его сотрудников. Сам факт, конечно, неприятный, как и любая подобная утечка, но на фоне тех массивов информации, что попали в общий доступ за последний год, сведения совершенно не представляют интерес, разве только вы не клиент этого провайдера. Даже информация о том, что в утечке содержатся пароли админов перестанет быть актуальной после придания этой информации огласке.

Такие утечки выкладывают в основном для того, чтобы заработать себе репутацию на даркнет-форуме. Впрочем, это лишний раз доказывает, что любая компания, вне зависимости от её размера и направления деятельности может быть атакована, а в случае успеха атаки, её данные пополнят коллекцию публичных утечек.

in2security

23 January 2023 17:26

payment-ckad.ru и payments-ckad.ru – тот случай, когда кто-то зарегистрировал домены под одну фишинговую схему, но в итоге использовал под другую.

Про фишинг, заточенный под оплату проезда по ЦКАД мы писали не раз. Как правило, он соседствует с оплатой штрафов ГИБДД. Некоторые индивиды умудряются за месяц создать до нескольких десятков таких фейковых сайтов.

Но в данной ситуации с дорогами что-то не срослось и выбор пал на… Отключение платных подписок всего за 50 рублей! Фейковые сайты СБП мы тоже уже рассматривали, но это что-то новое. Впрочем, новой стала только обложка, внутри все та же хорошо знакомая нам схема для кражи данных банковской карты.

Сайт был благополучно заблокирован вскоре после обнаружения.

in2security

13 January 2023 09:43

Сегодня в сеть выложили файл secret-base.txt объемом 178.6 мегабайта. В описании к файлу указано, что это лишь малый фрагмент куда большего массива, полученного с одного популярного сайта. При этом сведения о том, что это за ресурс отсутствует. Что ж, проанализируем данные.

База содержит 3 505 917 строк в формате ID, ФИО, почта, телефон, никнейм.
В размещенном фрагменте имеется 3 247 324 уникальных адресов электронной почты и 1 647 711 уникальных телефонных номеров, то есть повторы практически отсутствуют.

Практически все адреса относятся к доменам MAIL.RU:
mail.ru: 2.522.514
list.ru: 319.589
inbox.ru: 220.618
bk.ru: 184.211

Отметим наличие и 199 корпоративных адресов сотрудников данной корпорации в домене corp.mail.ru.

Кроме того, в базе присутствуют адреса и телефоны сотрудников самых разных государственных организаций. На скриншоте вы можете видеть пример того, что находится по слову «Безопасность».


Что ж, если фактически все адреса принадлежат мейлу и среди них находятся такие, как, скажем hr@corp.mail.ru, то можно сделать и логичный вывод о принадлежности этой базы.

in2security

12 January 2023 12:34

Сегодня по различным каналам разошлось сообщение о том, что злоумышленники угоняют аккаунты под предлогом ознакомления со «Списком людей, которые будут мобилизованы 1-3 февраля». И это действительно так. Мы зафиксировали массовую рассылку вредоносных сообщений подобного содержания. К рассылаемым сообщениям прилагается ссылка, по которой мы просто не могли не перейти.

И каково же было наше удивление, когда после череды редиректов мы попали на хорошо знакомый нам сайт https://konkurs-golos.ltd, который засветился в нашей статье про взлом аккаунтов под видом голосования за лучший детский рисунок.

Этот пример отлично демонстрирует то, зачем нужны такие многоступенчатые схемы с переадресациями и размещением фишинговой формы ввода логина-пароля на стороннем ресурсе. Домены с рисунками давно заблокированы, а вот сайт для ввода логина продолжает действовать и редирект на него осуществляется уже с других ресурсов, в нынешнем случае – из сообщений в Telegram. Если же заблокировать сайт https://konkurs-golos.ltd, то он будет моментально заменен на другой, а ссылки из разосланных сообщений менять не придется – они продолжат работать за счет промежуточной переадресации.

Пожалуй, это самая массовая фишинговая атака на российских Telegram-пользователей за все время существования мессенджера. Предыдущие носили куда более локальный характер и были намного проще организованы в техническом отношении.